Спрямовані ІТ-атаки в сфері великого бізнесу: як це відбувається в Росії

    
 
Кілька років тому держава вирішила, що спрямовані атаки — це загроза державній безпеці. На базі Міноборони цього року були створені спеціальні ІБ-війська для захисту військово-інформаційних систем і систем зв'язку. При цьому банки, крупна роздріб, підприємства нафтогазової сфери та інші великі компанії знаходяться в цивільному секторі. Їх захищаємо ми та інші цивільні команди.
 
 Характеристики спрямованої атаки зазвичай такі:
 
     
  • Працює професійна група, як правило, мотивована фінансово чи за наказом. Випадкові мети рідкісні, найчастіше вибираються сегменти галузей або окремі підприємства.
  •  
  • Найбільш часті вектори — поєднання 0-day і соцінжінірінга. 0-day уразливості часто закуповуються у спеціальних «розвідників» під великі атаки.
  •  
  • Якщо атака була виявлена ​​і припинена, то висока ймовірність швидкого повернення по іншому вектору. Атака йде до результату.
  •  
  • Основна мета — корпоративні секрети, вихідні коди коду, листування топ-менеджменту.
  •  
  • Можливе повернення після первинної атаки. Був приклад Nortel з атакою, коли група прийшла назад через 10 років.
  •  
  • Атаки приховані, зазвичай тут не буває ніяких понтів. Пріоритет — максимально зачистити логи та інші сліди.
  •  
У нас на захисті є банки, роздріб, страхові та багато хто ще. Розповім про практику і рішеннях.
 
 

Хід атаки

 
 
 RSA, атака Red October
 
 Як правило, атака розвивається за стандартним принципам:
 
     
  • Розвідка та збір даних. Скануються соцмережі, особливо LinkedIn, виходить ієрархія співробітників і їхні імена, зв'язку. Технічними способами досліджується архітектура мереж, збираються IP-адреси сервісів, інформація про обладнання та софтверних рішеннях, а також про використовувані засобах захисту.
  •  
  • Підбирається вектор атаки, як правило, головне питання — спосіб доставки зловреда за DMZ. Це може бути що завгодно: від road apple (флешки в підсобці) до зараження сайтів, які відвідують юзери компанії. Часто захист компанії настільки хороша, що потрібна інша спрямована атака на когось з постачальників безпеки, щоб отримати вектор доставки всередину кінцевої мети. При зломі RSA були вкрадені майстер-ключі, які використовувалися для атаки інших компаній.
  •  
  • Виконується безпосередньо вторгнення, як правило, захоплюється контроль над одним з вузлів мережі. Зловред довантажує або дозбираються основні модулі та розпочинає поширення з цього вузла, поступово підвищуючи вплив і привілеї в мережі.
  •  
  • Відбувається закріплення впливу. На цьому кроці пригнічується діяльність захисних засобів, зловред отримує майже повний контроль, необхідний для вирішення завдання.
  •  
  • Пошук інформації. Як правило, заражається якийсь проміжний сервер для зберігання даних, наприклад, сервер оновлень. На нього група збирає все цікаве, що потрібно витягти з мережі. Часто на процес пошуку даних йдуть дні і тижні.
  •  
  • Витяг. Проміжний сервер сегментирует дані, архівує їх, приховує (шифрує або використовує стеганографії), потім відправляє назовні. Методи — аж до екзотичних, наприклад, замешивание важливих даних у технічний трафік.
  •  
  • Приховування слідів.
  •  
  • Мінімізація впливу. Зазвичай всі активні компоненти зловреда видаляються, і залишається тільки невелика закладка, здатна відтворити або завантажити код на випадок майбутніх зустрічей.
  •  
 
 

Відволікання

За світовій практиці дуже часто подібні атаки вимагають маскування, так як можуть бути виявлені ще на ранніх стадіях сканування у вигляді нетипової активності всередині мережі. Для цього дуже часто запускається потужна DDoS-атака на ціль. Це відволікає фахівців з безпеки з боку мети і допомагає приховати хірургічні руху по справжньому вектору атаки.
 
 

Приклади захисних засобів:

 
     
  • системи класу NG FW (Check Point, Stonesoft, HP Tipping Point);
  •  
  • система виявлення потенційно небезпечних файлів (пісочниця) (Check Point, McAfee, FireEye);
  •  
  • спеціалізовані засоби захисту web-додатків (WAF) (Imperva SecureSphere WAF, Radware AppWall, Fortinet Fortiweb);
  •  
  • системи виявлення аномалій в мережевому трафіку (StealthWatch, RSA NetWitness, Solera Networks);
  •  
  • системи аналізу та оптимізації налаштувань МЕ інфраструктури (Algosec, Tufin, RedSeal, SkyBox);
  •  
  • аудит безпеки коду (HP Fortify, Digital Security ERPScan CheckCode, IBM AppScan Source);
  •  
  • захист від шахрайства при доступі до систем інтернет-банкінгу (Versafe);
  •  
  • цифрове розслідування інцидентів ІБ (Forensic Analysis and Incident Response) (AccessData);
  •  
  • система захисту від DDoS (залізо — Radware DefensePRO, ARBOR PRAVAIL, Check Point DDoS Protector; сервіс — Kaspersky DDoS Prevention, QRATOR HLL).
  •  
 
 

Протидія (теорія)

 
     
  1. На етапі збору даних традиційно використовуються міжмережеві екрани і системи виявлення та запобігання мережевих атак. Головна проблема — вони, як правило, не визначають повільне сканування. NG FW (файрволли нового покоління) дозволяють корелювати події в мережі, зіставляти частини атак і бачити повну картину. Приміром, досліджуються аномалії за часом доби, трафік за новими портам і так далі.
  2.  
  3. На етапі вторгнення зараз застосовуються традиційна фільтрація запитів, системи запобігання вторгнень, антивіруси, в тому числі «важкі» на шлюзах. Крім систем NG FW застосовуються ще два методи — пастки і пісочниці. Пастки — це псевдоуязвімие сервіси всередині мережі, єдина мета яких — прийняти на себе атаку і підняти тривогу. Пісочниці працюють для блокування вторгнень наступним чином. Припустимо, користувач отримує пошту з архівом. Протягом трьох хвилин до доставки користувачеві пісочниця «розгойдує» цей архів. Для початку з'ясовується, що всередині три файли, один — виконуваний, він збирає свій шматок з двох інших, а потім створює процес і пише ключ в реєстрі. Завдання — змоделювати звичайну машину, тому що багато зловредів прекрасно виявляють режим гипервизора і не активуються. В сучасних пісочницях є симулятор мережевої активності (навіть дозволяє зловредів отримувати «відповіді» від командного центру), використовується як статичний з Дизасемблювання, так і динамічний аналіз коду, зловредів пропонуються різні оточення — серверне, користувальницьке і так далі, причому прямо зі стандартних образів поточної мережі. Є GUI, що дозволяє бачити, який код що робить.
  4.  
  5. Якщо вторгнення вже пройшло, необхідно локалізувати загрозу і запобігти вилучення даних. Для цього використовуються системи розслідування інцидентів, що аналізують логи і трасуючі шляху поширення зловреда по мережі. Якщо витяг все ж було — ці ж системи допомагають зрозуміти, що саме було винесене аж. Наприклад, Sony заблокували першу атаку на свою інфраструктуру до витягу та почали святкувати, але, як ви знаєте, потім були ще вектора.
  6.  
  7. На цьому наступному етапі вже потрібно починати офіційне розслідування і звертатися до суду. Для суду потрібні докази атаки. Пробували коли-небудь їх збирати по мережі? Так от, та ж Forensic Analysis може зробити зліпок інфраструктури та створити докладний звіт на поточне число, а потім закрити його цифровим підписом. І американські суди вже приймають такі мегатяжёлие файли з усіма зліпками пам'яті, списком процесів, логами і так далі як доказ. Їх можна повільно і спокійно колупати.
  8.  
 
 

Протидія (практика)

У нас є замовник — велика роздрібна мережа — інфраструктура якого вже кілька місяців перебуває під постійними спрямованими атаками. Працює великий ботнет з широким діапазоном IP, використовуються як спроби пронести експлоїти, так і старі добрі Брутфорс. Все це супроводжується хвилями DDoS. Конкретику з цієї нагоди я не можу розповідати, поки не буде видно кінця атаки (і ще роки два так), тому покажу, що б я в теорії зробив для захисту такої системи. Крім того, що підставив би завідомо невскривающійся сервіс під брутфорс.
 
     
  1. Обновил б мережеві засоби захисту до нового покоління, щоб аналізувати повільні події, бачити нестандартні алгоритми збору даних і дешифрувати канали зловредів.
  2.  
  3. Запрофіліровал б потоки даних між хостами і встановив би контроль за цим.
  4.  
  5. Прописав б обмеження в мережевих правилах.
  6.  
  7. Запустив б на регулярній основі систему пошуку вразливостей зсередини — це набори утиліт, які бігають по мережі і намагаються атакувати все, що погано лежить. Отримав би стандартний список незакритих експлойтів заліза і недообновлённого софта.
  8.  
  9. Раз на тиждень дивився б на оптимізацію налаштувань — це утиліти, які аналізують мережні правила на вузлах (включаючи проміжне обладнання), розподіляють їх за пріоритетами для швидкодії, шукають явні дитячі косяки і допомагають встановити best practice. Дуже корисні, хоч і досить дорогі, рішення. Допомагають, до речі, закривати дірки знятих з підтримки додатків на проміжних пристроях завдяки фільтрації.
  10.  
  11. Підключив б центр очистки даних, що стоїть на магістральному каналі (в Росії таких пара штук), на випадок потужного DDoS, щоб перекинути трафік на нього максимум за 30 секунд.
  12.  
  13. Підключився б до бази знань про дії хакерських груп. Є спеціальні команди, які читають хакерські форуми, зливають дрібні уразливості і так далі, домагаючись авторитету в цьому середовищі. Вони сигналізують про нові методи та засоби.
  14.  
  
 
 Algosec, приклад GUI настройки базових правил для керівника ІT-відділу (НЕ безпечники)
 
 

Захист коду

Якщо компанія займається розробкою коду, то часто сам код стає метою для атак і впровадження закладок. Для таких ситуацій використовуються системи перевірки цілісності коду, аналізу звернень до нього, карти модифікації початкових кодів і так далі. У загальному випадку вони дозволяють зрозуміти, хто і коли не повинен був звернутися до конкретної ділянки, але звернувся і щось дописав. Паралельно виконується статичний аналіз на предмет вразливостей.
 
 

Захист користувачів

Один із частих сучасних векторів в банківській сфері — атака не на серверну частину, а на обладнання користувачів. Частий приклад — троян, який вміє при натисканні на кнопку відправки даних форми підміняти рахунок для переказу коштів і суму платежу. Деякі банки в своїй ІБ виходять з того, що обладнання користувача завідомо ненадійне, і мають захисту від таких атак на своєму боці.
 
 

Кейси

Проблема кейсів в безпеці — це чи вважати за успіх факт не трапилася атаки. Наприклад, є ситуація з Infostruktura (Литва) — аналог RSNet в Росії, у неї приклад показовий. Компанія надає послуги зв'язку уряду Литви. Використовує весь комплекс AMS для захисту сайтів уряду та деяких комерційних структур (більше 200 сайтів). Використовує AppWall, DP, Alteon, більше 2 років відображаючи атаки на всіх рівнях. Єдиний провайдер, що вистояв при масованій атаці на Литву при проведенні там Європейського форуму в минулому році. Але, звичайно, кращий захист — це коли атака навіть не відбувається, тому що занадто дорого. Якщо цікаво, надам більше кейсів з вашій сфері при запиті на plutsik@croc.ru.
 
 

Резюме

Атаки на великі компанії — не міфи. Прямо зараз один наш замовник випробовує кілька десятків різних атак в день, інший захищається від вже тижневого DDoS, ще кілька із завидною постійністю виловлюють цікаві файли з пісочниць. Теоретично, при належній увазі, гонка щита і меча в сфері ІБ триває постійно, і баланс дотримується. Єдина ефективна уразливість — це люди. Соцінжінірінг виявляється найдієвішою і неустаревающей методикою. І завдання навчання користувачів, плюс регулярних навчань лежить не тільки на нашій технічній стороні, але і на стороні персоналу замовника.
    
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.